Что произошло с XDS

stul

Как известно у людей загораются звезды.
Если человек вырос в нищете, а на него вдруг свалилось какое-никакое баблишко, у некоторых в мозгу есть функция, которая почему то заставляет звездиться.

Так вот так случилось и с нашим героем. Сделал шаблон, задрал ценник, продал несколько сот раз. Заработал свою первую тысячу долларов и стал первым парнем в своем селе. Очень занятым видно, ведь целых 1000 надо потратить. Времени работать нет. Да и подумаешь, сделал кривой шаблон со свистелками-перделками, с которым ни один стандартный модуль не совсестим — зато ж блымает.

За него сделали адаптацию, несколько раз обращались с предложениями внести совместимость. Продали штук 50  его шаблонов, посредством личных рекомендаций. Звезда во лбу так светила, что он даже нас не замечал.

Ну так как, мы не вчерашние, мы без звезд, обойдемся в нашем тесном дружном коммьюнити. Как показывает практика, чем ярче звезда, тем быстрее тухнет.

Поэтому у меня в принципе нет никакого желания обсуждать дальше эту ситуацию. А тем более разводить какие то публичные срачи на эту тему. И впредь подобных фанатов холиваров я буду нещадно банить и вычищать. У нас форум для поддержки и развития opencart.pro, а не для рекламы гомосексуальных способностей определенных индивидов!

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+3 рейтинг, 5 голосов)
Loading...Loading...

Yoda как он есть. Открываю истинное лицо!

ya

 

Доброго утречка всем посетителям моего светлого блога!

А в следующей серии нашего мультипликационного хоррор-триллера, я расскажу, как и зачем мы переносили очень быстрый магази на VPS.

Чем плох чистый опенкарт на ебучей русской сборке.

Как правильно вкорячить сео про от RB2 и не потерять друзей.

И почему обычный перенос туда-сюда может занять три дня и требовать диких танцев с бубном.

А еще к нам пришел похоже XDS, и вместо того чтобы сказать — пацаны простите, вы мне продали 100+ шаблонов, спасибо вам, был не прав, вот патч под ваши модули, все будет ок, начал корчить из себя хуя в пальто или штопанного гандона, я еще не понял кого больше, но похоже у нас очередной сезон мыльной оперы «Отель у погибшего Упыряки» разворачивается. И то что у демона неплохой шаблон получился, не спасет его от публичной порки!

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+2 рейтинг, 4 голосов)
Loading...Loading...

Региональное продвижение в Yandex при помощи поддоменов

seo_slider4_inner

Друзья, скажите кто сталкивался с подобным сео-финтом?

Мы не говорим про YAC, а речь идет о создании поддоменов под разные регионы с динамическим изменением контента, а в идеале с созданием уникального контента под каждый регион.

Например делаем поддомен uriupinsk.google.com, назначем этому поддомену свою языковую локаль, что позволяет нам не сильно корячить движок, а обойтись практически полностью исходной структурой базы данных и не сильно вмешиваться в код,  и добавляем автоматом во все meta-теги и описания товаров/категорий/производителей — купить сладкий свежий google в Урюпинске по суперцене с заказом по телефону и заносом на пятый этаж.

Также мы учли, ситуацию, с тем, что писать на 20 языковых локалей значения атрибутов — это бред, и для атрибутов у нас языковая локаль осталась общая, равно как и для отсутствующих языковых данных в мета-тегах и описаниях товаров. Они или формируются по заранее заданной маске или берутся из дефолтной локали.

Ну и таким макаром создаем поддомены на необходимые нам рф-регионы и регистрируем каждый — как отдельный проект в вебмастере. (тут вылезет проблема с тем что надо каждому домену задать свой региональный адрес и телефон, но по моему Яша не прозванивает региональную привязку и верит написанному, да и 8-800  — это нормальный выход из ситуации).

 

Почему спрашиваю.

Во первых не первый раз всплывает тема в околосеошных разговорах. Во вторых мы сделали недавно подобную реализацию и даже сделали ее коробочную бета-версию, готовую инсталлироваться в любой момент с удобными плюшками в виде масок для автодополнений контента,  и связки с автоопределением geoip.

Очень интересен мне эффект от подобного решения. Но боюсь что пока заказчик отдуплится и получит первые результаты — рак на горе свиснет.

В связи с чем три вопроса:

1. Есть ли от этого на самом деле толк?

2. Нужна ли подобная коробочная реализация в виде stand-alone модуля, и насколько она будет востребована?

3. А не поклеит ли Яша к ебеням все эти поддомены и не покажет большую толстую конскую залупу.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 4 голосов)
Loading...Loading...

Тормозит Opencart. Часть 13

slow

Все глобальный подводные камни, которые могут встретиться на пути к быстрой системе я уже описывал ранее, пока что к ним добавить особо нечего.
Но иногда встречаются ситуации, когда магазин задыхается не из-за архитектурных проблем, а по глупости, недосмотру горе-разработчиков, или по банальному незнанию.

Итак. Что нужно проверить и почему могут быть тормоза.
1 — Права на папки с кешами (системный, модификаторы, vqmod).

orava
2 — Очень часто сайт долбят поисковые боты в ссылки фильтра. Что делать с ботами ниже. Что делать с фильтром? Все просто — покупаем Mega Filter Pro, а еще лучше Mega Filterp Pro Plus, включаем в его настройках кеш, добавляем в robots.txt Disalow: /*mfp и радуемся.

megafilter

3. Поисковые боты в последнее время сошли с ума. Во первых их развелось великое множество, во вторых Бингу по моему сервером завезли, и он если заходит — укладывает магазин напрочь. По хорошему трафик у нас идет с Яндекса Гугла и немножко с мыл ру. Поэтому я бы рекомендовал закрыть к монахам в robots всех ботов кроме вышеуказанных. И внимательно проверить, закрыты ли у вас ссылки фильтров и метки. Да да метки надо закрывать — так как в opencart они реализованы через поиск, а поиск в opencart оставляет желать лучшего. Мало того такая реализация не приносит никакой пользы для seo. Так как в итоге в индекс попадает вагон соплей и ничего больше.

botbot

Также не забываем про crowl-delay. Имеет смысл поставить 5-10 секунд. Ничего не случится, от ботов не убудет. 10 секунд — это 2880 страниц в день. Вполне достаточно для того чтобы переиндесировать среднестатистический магазин ежесуточно полностью.

4 — Обновите vqmod до последней версии. Он стал намного быстрее.

5 — Старайтесь избегать дешевых виртуальных хостингов.

6 — Проверяйте лог ошибок. Недавно обнаружил на одном из магазинов смешную ситуацию. Из-за ошибки в переменной, выводимой в шаблон ajax скрипт обращался к несуществующей странице вызывая циклическую переадресацию, но не на сервеном уровне, а на уровне магазина. Соответсвенно магазин сам себя ддосил.

7 — Не используйте Лайтнинг от упырька MaxD. При ближайшем рассмотрении от этой поделки больше вреда чем пользы. Чего только стоит «фоновое создание кеша всех страниц сайта». Звучит вроде здорово, а на практике, у вас автоддос нон стоп.

3568

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 4 голосов)
Loading...Loading...

Битва упырей. Жадность или глупость ?

upiriii

Есть у нас на форуме городской сумасшедший SPOWN
Обычно на всех форумах есть такие персонажи, у которых все не так, все ломается, рушится и не работает.

Вместо того чтобы гуглить они из-за каждой комариной залупы извергают тонны топиков, и обижаются если их мягко посылают подальше со словами, ну сколько можно, ну научись же гуглить сука хотя бы ответы на вопросы «какой рукой подтереть жопу».

При этом обычно такие люди замахиваются на реализацию задач, которые обычно можно решить или большим бюджетом, или большим упорством, при условии наличия достаточно скилла. И вечно ноют, денег нет, шеф заставил, и так далее. Интересно мне вот — если шеф бабу твою попросит выебать, ты дашь и тоже будешь потом сопли разводить — мол шеф заставил.

Ну к нашему Спауну мы то пообвыклись, и особо на его вопли никто не обращает внимания. Но изначально парень получил массу советов как и что сделать, где то платно, где то бесплатно. Но его задачи реализовывались как два пальца об асфальт.

Вместо этого он по классике выбрал свой путь иииииии….
Бинго нашла коса на камень, один упырь против второго упыря.

Спаун купил у сАддиста модуль. А теперь требует манибек.
Я даже заскринил. Так как Стражи легиона Динокса быстро приберут пост.

saddist

Я бы даже ставки начал принимать кто кого. Лично я бы поставил на сАддиста. Поводит горячий кавказцкий юношя по пухлым рыжим губам богатырским лингамом. Хотя у спауна есть шансы!

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 6 голосов)
Loading...Loading...

Бизнес, ответственность и чего же вы все сука хотите

sacha

Что то давно я не писал слезливых постов про то  как всем плохо живется.
В нашей незалежной все плачут, у всех плохо, майдан не тот, януковощ вернись не вернись, вобщем плохо.

Был в РФ — у всех тоже плохо, доллар растет, Путин плохой, денег нет.

Мне кажется вся проблема в том, что мы не понимаем чего мы хотим на самом деле.

Начну с себя.

Для меня было бы неплохим вариантом существовать в ситуации, как в иллюстрации к посту, но мой папашка не был диктатором в небольшой стране-бензоколонке, и в этой жизни у меня было два пути  — или лизать мажорным сукам, чтобы в 40 купить себе Range Rover, как один мой знакомый, или ебашить до потери пульса.

Я выбрал второй вариант.

И это очень сложно. В день, я получаю 10+ обращений, помогите, спасите, расскажите, бизнес-гавно, сайт-поломался. сеошники-пидарасты развели, компаньон наебал, фрилансер пропал.

Господа, сорри. Вы сами виноваты. Но. мы последние 6 лет так или иначе живем в мире фриланса  и этих всех пидарасов . За это время из реальных 1200-1500 коммерческих операций, один раз нас кинули — не заплатили, один раз кинули, не выполнили оплаченную  работу (привет Afwollis —  уебыш),  и все.

Все остальные бизнес процессы всегда были ответственны, дружелюбны и приятны обеим сторонам.

ДА ДА ДА.. Вы скажете — так не бывает. Но. Так бывает. И знаете почему.

Нужно всегда уважать вашего визави. Неважно, кто там на том конце провода, нищеброд студент, который хочет разделаться с бедностью в один день, доктор математических наук с апломбом, или великий бизнесмен, у которого в 90ые на рынках МСК было 25 точек с люстрами. Всегда на том конце провода нужно видеть человека. И Делать свою работу так, чтобы этому человеку было приятно.

Никогда ради 50-100-1000 долларов, не надо лезть в бутылку. Репутация и нервы намного дороже.

Никогда нельзя делить работу на плохую и хорошую — работа это всегда деньги.

И знаете, если вы хоть чуть чуть научитесь видеть в существе на том конце скайапа человека, а не орать как полоумный с подскока — (20баксов в час, я меркантильный гандон, за меньше не буду базарить, и ваще идите на хуй я общаюсь только по электронной почте). Так вот. Как только вы вспомните, что деньги — это не главное. Главное удовольствие от работы. И от ощущения себя реализованным. Так сразу, у вас не будет времени поспать изза вашей востребованности.

А если быть гандоном и упырем как sv2109, cmd, soforp, у которых желание мелких бабок, залило глаза пеленой. Кроме как быть мудаком в упырском одиночестве — больше ничего не останется. С вами будут работать, но бабло которое вам будут платить, никогда не пойдет на пользу. Потому что у таких ебланов вся жизнь свелась к бабкам.

Так что еще раз подчеркиваю. Ответственность, уважение к партнерам и желание самореализоваться. Только эти принципы могут приносить и деньги и удовольствие.

Все иные процессы — подножный корм пидарасов!

 

Я это все к чему. Будьте всегда людьми, не ебланьте, работайте с каждым новым клиентом как с первым. И в самый лютый кризис вы не останетесь без краюхи хлеба с маслом и черной икрой. А если вы гандоны в душе, как sv2109, afwolis или soforp, просто на хуй идите на шахты. Не напрягайте общество своим присутствием.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+8 рейтинг, 8 голосов)
Loading...Loading...

Безопасность Opencart | Как мы защищались от вируса

safe

В продолжение нашей статьи про атаку на Самку чужого, наконец то появилось время подробно описать что мы сделали, чтобы история не повторилась.

1 — Поменяли абсолютно все пароли. Ftp, базы данных, администраторов магазина.

2 — Добавили в /system/logs файл .htaccess следующего содержания:

<FilesMatch ‘.(php) $’>
Order Allow,Deny
Deny from all
</FilesMatch>

3 — Проверили все права на папки файлы и дали минимальные

4 — Прошлись вручную поиском по всем папкам на которых было 777 нашли все подселенные эксплойты, и убрали их.

5 — Прошлись по всем папкам магазина и нашли входжения base64 и  eval. Это позволило обнаружить еще вагон и тележку всякого хлама.

6 — Насобирали статистику айпи с которых были атаки и заблокировали их в корневом .htaccess

7 — Удалили контроллер admin/controller/tool/backup.php. Это не критичный функционал — без него жить можно.

8 — Запаролили админку через .htaccess как это сделать читаем здесь.

9 — Отключили показ ошибок на уровне сервера. И в настройках магазина.

Этого всего достаточно для того чтобы наш зловред не появился опять.

Но для железобетонной уверенности в том, что к вам не прицепится какая то гадость — этого мало.

Надо развернуть боевой рабочий сервер с ограниченным доступом, а всю разработку вести на каком нибудь деве.
Нужен Suhosin, Mod-Security, какая нибудь система проверки целостности структуры файлов, в идеале GIT, закрытые доступы к админке и phpmyadmin только по ip, нормальный хостинг, никаких шаредов, и отсутствие в одном аккаунте с боевым магазином соседей типа сайтов на WP. Правильные настройки серверного окружения.

Также сервер должен быть с последними патчами безопасности.

Крайне не помешает SSL-сертификат.

И вот такая система действительно даст какую то надежду, что вас не хакнут, если захотят.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+7 рейтинг, 7 голосов)
Loading...Loading...

Panda Code за воровство были наказаны

shliu

Не знаю что там и как опять пробздилось в дацькому князивстви.
Но судя по всему нас услышали и аккаунт панды заморожен.
Огромное спасибо всем кто нас поддержал в битве с упырями.

И специально по этому поводу для панды код хочу поставить музыкальную композицию  в исполнении Б. Титомира и Т. Юнусова.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+9 рейтинг, 11 голосов)
Loading...Loading...

Привет, с вами Джонни Хищник. И сегодня я вам расскажу, как мы гоняли втроем самку чужого

predator

Вкратце. В последнее время завелась какая напасть. В магазинах  на Opencart появляется вирус, который переименовывает error.log в error.php и начинает себя плодить по всем папкам, куда у него хватает прав записаться.

Я три дня вялотекуще бился над этой проблемой и плюнул уже, решив угомонить зловреда по классической схеме (выделенный сервер + suhosin +  mod_security + htacces c Deny From All во всех критичных местах) и через месяц любая падла забивает на попытки тебе нагадить в тапки), но господин Freelancer оживил тему и подкинул идей иии.. понесласаь. Потом появился господин Savage4Pro и мы тесной гопкомпанией с ружбайкой на перевес раскинули корм и сели в засаду.

Что из этого получилось?

Подробности вечером.

И кстати — всех деталей не раскрою. Так как уязвимость Opencart — оказалась вроде бы и не уязвимость, но определенную опасность особенно от Школоты и обиженных фрилансеров под собой несет. Хотя если я ошибаюсь и все хуже чем я думаю — то это может быть не уязвимость а дырища. Но мы в шесть пар глаз просмотрели десять раз по кругу один и тот же код. По идее всему виной по классике admin/admin и 12345.
Так что чую придется писать Сесурити-пак, во избежание подобных ситуаций.

Как я уже писал последствия были достаточно типичные. Error.log переименован в Error.php — там загрузчик вредоноса. И потом через этот загрузчик во все доступные папки для записи грузятся обфусцированные файлы. Фрилансер, случайно в разговоре сказал, что есть мол новый модный вирус — работает через админку. Как заселяется непонятно.

Так как несколько дней назад я все вычистил и пересмотрел 10 раз. Поставил минимальные права на папки и позакрывал все известные дыры и все равно. Значит что то я делаю не так. Слава богу мы смогли обнаружить логи магазина.

В которых, четко, во время появления зловреда было обращение к контроллеру админки с готовым сформированным токеном, после которого log.error снова мутировал. Это гооворило о двух вещах. У зловреда был доступ в админ и лог пасс от юзера с админскими привелегиями, который позволил сформировать этот токен. Или все сложно и запущено и это глобальная жопа, И какой то умник написал совсем дикую срань, которую хрен обнаружишь и которая подделывает токен, куки, формирует сессию и отсылает владельцу.

Тогда было принято решение ловить на живца, из того что я начитался про подобного рода мероприятия, было ясно, что через какое то время зловред не найдя своих посевов, очнется и будет пытаться тем способом которым он заселился сеять вновь.

В любом случае любой зловред получает указание из мира через get или post запросы. А так как ни один хостинг не хранит данные запросов — а только заголовки, а у нас еще и потный beget. Ну что ж, написать логгеры post-get контента, дело пяти минут. Но что делать с сессиями? Ведь сессия жива, в папку  к сессиям на шареде доступа нет. Ну и хер с ними Фрилансер подсказал гениальную идею — перенести их в локальную папку прямо в корне движка. А как же настройки сессий, спросите вы, да похрен на них — делаем это прямо в index.php, Не забываем, делать в обоих. Ну и нам же надо отловить mysql на всякий случай. Для запросов тоже пишем лог. Берем ружбайку, меняем пароли в админке. Чистим заново всю гадость, садимся  и ждем. Время к полуночи. Иди сюда. POST  login=>admin  (admin | admin).  И такое бывает на рабочем магазине, оказывается был такой юзер. Которого в процессе самолечения грохнули и сказать забыли. И собственно банальным брутом эта зараза и получила доступ в админ. Создала сессию, а кто — то умный сделал в php.ini gc.maxlifetime = 999999999. Так что этой одной сессии хватило бы до скончания времен.

А дальше цирк с конями. Вдруг начинается дождь обращений  к каким то уже давно убитым php файлам, и почту шлет и пароли подбирает, и команды на старт раздает. А ничего нету все убито. Но за счет обнаружившейся ошибки на сервере. Бот видит 200 ок. И думает что он в работе. Вобщем изьебывал я его до утра. В процессе почитывая рекламу Виагры, Сиалиса и увелечения пинаса из рассылок.

Когда утром стало понятно, что проделанных мероприятий достаточно. Звероящера больше нет возникло три проблемы:

1 — определить был ли это таки мегазловред, или классический брутфорс админки и использование уязвимости с админским доступом.

2 — принять меры для того чтобы исключить повторение подобного в будущем. Так как это все черевато ошибками при работе магазина. Вонью хостеров, попаданием в спам и абуз базы. И нарушением привычного ритма работы.

3 — в каком формате обозначить суть проблемы, ведь если расписать механизм атаки полностью, завтра в к каждом подвале, каждая уважающая себе школота начнет брутить поголовно админки магазинов.

По первому пункту. Хоть Фрилансер и высказывал аргументы, что это очень странное поведение вируса, мое личное мнение один в одни сходится с мнением уважаемого Savage4pro, привожу цитату:

точно, можно поставить один кривой маленький модуль и открыть БД на редактирование с фронта, чего же нет, зачем все остальное
я к чему, если есть идеи насчет списка конкретных модулей, которые отправляют авторизационные данные куда попало, надо их изучить

Т.е. вероятность существования модулей с намеренно внедренными спящими эксплойтами, мы допускаем. Но в ситуации, если у нас есть готовый эксплойт, мы считаем что то поведение, которое проявлял зловред, однозначно является поведением узконаправленного, но все же ботнета, чем хитромудро внедренного модуля либо же специально обученного человека. Потому как,  если у вас получилось занести зловредный файл на хостинг жертвы, не нужно гродить весь этот хоровод с Блекджеком и шлюхами, так как достаточно одного правильно спрятанного eval() и почти любой магазин полностью под нашим контролем. Ну а антивирусы для php к сожалению это миф. Так что методология создания максимального изолированного и безопасного серверного окружения рулит — но про это позже отдельным постом.

В том что магазин моего подопечного чист от варезных модулей  — я готов ручаться своей репутацией.

По пункту 2 и 3 подробнее завтра, на сегодня хватит.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+7 рейтинг, 9 голосов)
Loading...Loading...

Смешной Reg.ru

regru

Это просто «без комментариев».
Второе десятилетие 21 века.
Люди ракеты на платформы сажают.
Мой телевизор сам качает торренты.

А чуваки жмутся и не могут сделать настройки кеширования статики. Которую гугл требует вовсю уже давно…

Вот мне непонятно — это от жадности?

Цинк на первоисточник.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+1 рейтинг, 1 голосов)
Loading...Loading...

Что вы думаете про MANDA code | Отзывы Panda Code

Пока что эти **** вьюноши спиздили у нас Coolfilter выдав за свою разработку и у Deeman Simple 3.0 без ионкуба, также выдав за свою поделку…
Крепко быкуют и не хотят признавать за собой косяк.

Кто че знает, кто сталкивался, какие были качели, косяки?

Давайте выведем упырей на чистую воду!

UPD вот что гуглится при запросе Панда Код отзывы.

Ужасно работают, сроков не придерживаются и не выполняют все поставленные задачи до конца. В итоге их низкая цена оказывается дорогой, если переложить на время потраченное на Панда-код

Это ведь великолепно!

 

А вот отзывы с FL.RU

1. Не соблюдены сроки, в последствии обвинили меня в этом, хотя изначально в проект был специально добавлен +1 день, на решение вопроса связанного с моей проблемой. А еще они сказали: Каждый день просрочки, это +2 дня к проекту. Вас не предупредили? Извините.
2. Внимание к деталям, это не про них. Причем ляпы настолько детские, что диву даешься, как такое можно было сделать.
3. Когда что-то не получается, делают лишь-бы сделать, а потом пытаются выдать это за результат.

Не рекомендую.

И еще

Выбрал Дмитрия делать проект по положительным отзывам. Видимо, отзывы у него накручены. За время, выделенное на проект, сделана только самая легкая часть, и то не полностью. Дмитрий оказался некомпетентен как разработчик, выбирал принципиально неверные способы решения задач. Много приходилось переделывать. Не рекомендую. Разве что, делать мелкие и простые работы.

 

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+3 рейтинг, 3 голосов)
Loading...Loading...

SEO — дайджест +18

Тезисно

1. по ходу Яндекс забил на ТИЦ.

2. Topvisor — отличный сервис для снятия позиций.

3. Ссылки по прежнему работают и еще как работают.

4. Xtool добавил проверку на Минусинкс и АГС, но походу она у них глючит крепко.

5. Гугл собирается хозяевам сайта  в выдаче маячить про Mobile-friendly.

6. Сеошники — гандоны вот тут чуваки вгатили лям за год и хуй на блюде!

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 4 голосов)
Loading...Loading...

How to Set Up A Study Topic

Theres little doubt accolades may do wonders for a self worth that is writers. In the end, an award is really an agreement of a hard work that is writers. But is it, a validation, in every circumstances of this particular quality? Are all honors reliable? May a mediocre author have the ability to find out another persons average work or judge a guide? While judges recognize beforehand manager and mcdougal of the book, could they be a hundred percent honest? Do they behave with detachment and dont permit their private sensations to have involved even if they dislike or like the publisher? Читать далее

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (Нет голосов)
Loading...Loading...